内容WinDump手册名称windump–获取网络流量命令格式windump.docx

Jenny was compiled in January 2021
内容WinDump手册名称windump–获取网络流量命令格式windump
内容： WinDump手册名称windump – 获取网络流量命
-T
根据表达式将选中的数据包表达成指定的类型。当前已有的类型有CNFP（Cisco的网络流量协议），rpc（远端程序调用），rtp（实时程序协议），rtcp（实时程序控制协议），snmp（简单网络管理协议），vat（可视单频工具），和wb（分布式白板）。
-R
假设ESP/AH包遵守旧的说明（RFC1825到RFC1829）。如果该参数被指定，TCPDUMP不打输出域。因为在ESP/AH说明中没有协议版本，TCPDUMP就无法推断出其版本号。
-S
输出绝对TCP序列号，而不是相对号。
-t
每个捕获行不要显示时间戳。
-tt
每个捕获行显示非格式化的时间时间戳。
-v
详细输出。例如，显示生存时间TTL，标识符，总长度和IP数据包的选项。也进行额外的包完整性较验，如验证IP和ICMP的头标较验值。
-vv
更为详细的输出。例如，显示NFS中继包中的其他域。
-vvv
很详细的输出。如，完全输出TELNET SB… SE选项。带-X参数的TELNET，打印并以十六进制输出。
-w
不对原始数据包解析打印而是转到文件中去。以后可用-r选项打印。当文件名为“-”表示标准输出。
-x
以十六进制（去除链路层头标）输出每个数据包。输出整个包的小部分或snaplen 个字节。
-X
输出十六进制同时，输出ASCII码。如果-x也被设置，数据包会以十六制/ASCII码显示。这对于分析新协议非常方便。如果-x也没有设置，一些数据包的部分会以十六制/ASCII码显示。
Win32特殊扩展
-B
以千字节为单位设置驱动缓存。默认缓存为1M（即1000）。如果在获取数据包时有数据丢失，建议使用该参数增大核心缓存大小，因为驱动缓存大小对数据捕获性能有很大影响。
-D
显示系统上可用的网卡列表。该参数将返回每块网卡的号码，名称和描述。用户可以输入“WinDump –i 网卡名称”或“WinDump –i 网卡号码”。如果机器有多块网卡，不带参数的WINDUMP命令会从系统的第一块可用网卡开始。
表达式
选择哪些包被捕获。如果没有指定表达式，会捕获所有在网络中的数据包。否则只获捕表达式为真的数据包。
表达式由一个或多个原语组成。原语通常由一个ID（名称或号码）前面加一个或多个限定词组成。有三种不同的限定词。
类型
限定词指出id，名称或号码属于哪种类型。可能的类型包括：host,net和port。如’host foo’, `net ', `port 20'. 如果没有指定类型，假设为host。
方向
限定词指出特定的传输方向，是从id传来还是传到id。可能方向是src, dst, src or dst 和 src and dst。例如`src foo', `dst net ', `src or dst port ftp-data'。如果没有方向限定词将指定src or dst。对于‘空’链路层（像SLIP这样的点到点协议），可以用inbound和outbound 限定词指明需要的方向。
协议
限定词限定匹配某类特定的协议。可能的协议有：ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp和udp。如`ether src foo', `arp net ', `tcp port 21'。如没指定协议，则假设匹配所有协议。如`src foo' 指 `(ip or arp or rarp) src foo' (但后面的表达式不合法法)（except the latter is not legal syntax）, `net bar' 指 `(ip or arp or rarp) net bar' 和 `port 53' 指 `(tcp or udp) port 53'。
`fddi' 实际上是’ether’的别名；解析器会认为两者都是指“指定接口中使用的数据链路层”FDDI头标包括类似以太网的源和目的地址，经常包含类似以太网的包类型，所以你可像对以太网字段一样过滤FDDI域。FDDI头标也包括其他域，但你不能在表达式中直接使用他们。
同样’tr’也是’ether’的别名；前一段FDDI头标的情况也适用于令牌环网头标。
除了以上所讲的，还有一些特殊的原语关键字不使用这种方式：gateway, broadcast, less, greater 和算术表达式，都描述如下：
通过使用and,